Selon Bleeping Computer, 3 207 applications mobiles exposent désormais les clés API de Twitter. Ces clés pourraient permettre aux pirates de détourner les comptes des utilisateurs.

Twitter fait la une des journaux ces jours-ci en raison de son conflit en cours avec Elon Musk au sujet du rachat de l’entreprise. Mais la plate-forme de médias sociaux fait face à une énorme menace pour la sécurité au milieu de son litige. Selon le rapport, la société de cybersécurité CloudSEK a découvert que 3 207 applications exposaient une clé consommateur et un secret consommateur valides pour l’API Twitter.

Lorsqu’un développeur souhaite intégrer son application à Twitter, il reçoit des clés ou des jetons d’authentification spéciaux. Cela ouvre la voie à l’interaction de l’application avec l’API Twitter. Ensuite, chaque fois qu’un utilisateur connecte son compte Twitter à l’application du développeur, les clés permettront également à l’application d’agir au nom de l’utilisateur.

Les clés de l’API Twitter fuient en raison d’une erreur du développeur

Selon CloudSEK, les développeurs d’applications ont commis une énorme erreur en intégrant leurs clés d’authentification dans l’API Twitter. Ils ont également oublié de les supprimer une fois l’application publiée.

CloudSEK indique que les pirates de compte peuvent faire presque tout avec le compte, y compris lire des messages directs, aimer et retweeter des tweets, créer ou supprimer des tweets, supprimer ou ajouter de nouveaux abonnés, modifier les paramètres du compte ou modifier les images sur le compte.

La société de cybersécurité avertit également que les pirates de compte peuvent créer une armée de comptes Twitter vérifiés pour promouvoir de fausses nouvelles, des campagnes de logiciels malveillants, des escroqueries à la crypto-monnaie, etc.

Bleeping Computer dit avoir la liste complète des applications impactées qui ont entre 50 000 et 5 000 000 de téléchargements. En outre, les applications vont des compagnons de transport et des syntoniseurs radio aux lecteurs de livres, aux enregistreurs d’événements, aux journaux, aux applications de banque en ligne, aux applications GPS de cyclisme, etc.

La plupart des applications concernées affirment qu’elles n’ont pas reçu les notifications CloudSEK. De plus, la plupart d’entre eux n’ont toujours pas abordé les problèmes. La source n’a pas divulgué les noms des applications. Cependant, il indique que Ford Motors était la seule entreprise à avoir rapidement répondu et résolu les problèmes sur l’application « Ford Events ».

LEAVE A REPLY

Please enter your comment!
Please enter your name here